情報セキュリティ事故に緊急対応するための体制組織化への取り組み

立命館大学情報理工学部セキュリティ＆ネットワークコース

上原哲太郎

今日ではどんな組織も多様なセキュリティ事故に備えが必要

外的要因＝「外からの攻撃」への備え

サイバー諜報が当たり前になった世の中で何をどのように守るのか

内的要因

「事故」への備え＝システム障害がもたらすセキュリティ危機

「事件」への備え＝「内部不正」への備え

本日はこちら

こちらは本日は

触れません

多様化する攻撃者像

愉快犯→思想犯 明確な目的

技術誇示目的

無差別攻撃よりも標的型攻撃が厄介な問題…

思想信条の表現

「集団暴走」

怨恨

金銭目的

破壊工作・諜報

無差別攻撃

標的型攻撃

いま大学が本当に恐れるべきは…

「サイバー諜報」

不正アクセスやマルウェアをきっかけにした高度な諜報戦

攻撃の高度化により従来の対策では検知が困難に

「内部犯罪」

業務の電算化が進み効率化と引き替えにリスクは高まる

定員外職員の増加アウトソーシング増加ロイヤリティに頼った人的セキュリティは無理

どんな情報でも換金出来る時代になり潜在的脅威は高まっているはず…？

年金機構事件を契機にして大学も標的であることが明確に

2015年11月 富山大学水素同位体科学研究センターに標的型攻撃

2016年10月10日に各紙報道実際の経緯は…

2015年11月5日 第1の不審メール2015年11月17日 第2の不審メール2015年11月24日 第3の不審メール（留学生を装い研究の相談メール）これを非常勤職員が開封して感染2015年11月26日～2016年3月ごろまで情報流出と思われる活動が継続しかし富山大自身がそれを把握したのは2016年6月14日の外部通報による

長期にわたり気づかない

自分で気づくことができない

侵入→基盤構築→目的達成

LAN

内部サーバFile,DB,Apps…

外部サーバWeb,Mail,DNS…

DMZ Internet

踏み台基盤構築

マルウェアを植え付け、遠隔操作しながら諜報活動を行うここ10年以上攻撃者の定石手

初期侵入は検出できるか？

手口にはパターンがあるとはいえ多彩

メール、水飲み場、クラウドサービス…

マルウェア対策があまり役立たない

パターンファイル系は無理

ふるまい検知は精度が課題

何より相手は「成功するまで諦めない」

例えば年金機構事件では…

基幹系

年金データ

情報系

共用サーバ

情報提供NWシステム

データの移送

4波に渡る標的型メール攻撃

情報の流出

何が問題か？

GSOC

もはや「入れないようにする」のは困難

多層防御 多段階防御はもう常識

入口対策＋出口対策＋「真ん中対策」

攻撃者の手を縛り、時間を稼いで攻撃検出の機会を少しでも増やす

初期侵入から目的達成までは時間がかかっているはず時間を稼げる対策をして

その間に発見することを期待

IPA「高度標的型攻撃」に向けたシステム設計ガイド

IPAシステム設計ガイドの基本思想

組織内システムそのものを「迷路」にする

部課単位にネットワークを細かく切って相互の直接通信を禁止する→攻撃者のマルウェア拡散活動を防止し、

検出も容易になる

各ネットワークからインターネットへの通信の手段をできるだけ絞ってログ検出を容易にする→可能な限りHTTP Proxy経由でのアクセスのみそのログも取得しておき定期的に監査

こうして時間稼ぎしてる間に検出する＝「検出できる体制を整える」

「細切れ」LAN

クライアント類を部課単位で細かいVLANに閉じ込めて、被害拡大を防止

FWやProxyはログを取る

取ったログは定期的監査

SIEM活用など

インターネット

グローバルIPVLAN＝DMZ複数の

ローカルIP VLAN

proxy

ファイアウォール

ファイアウォール

ファイアウォール

優先順位をよく考えるべき

事故を減らすなくす

実際には事故は防げない…長期にわたり気づかないと問題

事後対応を迅速化

事故検出能力向上

しかし…大学という組織の特殊性

一般事務○ガバナンス△重要情報

教務△ガバナンス◎重要情報

研究×ガバナンス？重要情報

学生 教員職員

ルールに従う時に官僚的

「お客様」だったり構成員だったり

組織の一員だったり個人事業主的だったり非常勤の人もいたり

何をするべきか？

まずセキュリティポリシーをきちんと作る

責任の所在とルールを明らかにしガバナンスを確立する

その上で実際の運用は重点領域から順に優先順位を決めて行うべきだが恐らく多くの組織にとって重要なのは「緊急時対応体制の確立」≒CSIRT設立

特にSINET加入組織にとってはNII-SOCとのPoCを作る必要があるため

セキュリティのカナメ：高等教育機関の情報セキュリティポリシー

H12年7月政府の「情報セキュリティポリシーに関するガイドライン」で大枠が決定

H14年3月「大学における情報セキュリティポリシーの考え方」

H17年12月「政府機関の情報セキュリティ対策のための統一基準」を受けてサンプルが作られる

H19年2月「高等教育機関の情報セキュリティ対策のためのサンプル規程集」がNIIで作られる

その後、政府機関統一基準はPDCAに従い改訂を繰り返し、サンプル規程集も追随

H12年7月情報セキュリティポリシーに関するガイドライン

政府機関はセキュリティポリシーを策定運用する義務

H17年9月政府機関の情報セキュリティ対策の強化に関する基本方針

政府機関はセキュリティポリシーを統一基準に順ずるよう見直す義務

政府側

H14年3月大学における情報セキュリティポリシーの考え方

各大学への策定要請（国立大は義務）省庁別ポリシー

省庁別ポリシー

省庁別ポリシー

H17年12月政府機関の情報セキュリティ対策のための統一基準

大学側

省庁別ポリシー見直し

PDCAサイクル

H18年9月政府機関統一基準適用個別マニュアル群（実施手順書雛形）

H19年2月高等教育機関の情報セキュリティ対策のためのサンプル規程集（大学向けポリシーの雛形）

政府機関はセキュリティポリシーを統一基準に順ずるよう見直す義務

H19年6月政府機関の情報セキュリティ対策のための統一基準（第二版）

7大学+NII

H15年1月高等教育機関におけるネットワーク運用ガイドライン

情報系3学会→IEICE

大学のポリシー

大学のポリシー

大学のポリシー

PDCA

NIIが主導・実態は統一基準＋IEICEガイドライン

H19年10月高等教育機関の情報セキュリティ対策のためのサンプル規程集の追加・見直し

60p

32p

約300p

大学ポリシー見直し

64p

政府機関はセキュリティポリシーを統一基準に順ずるよう見直す義務

H26年5月政府機関の情報セキュリティ対策のための統一規範（H26版）

PDCAサイクル

約600p

76p

H28年2月高等教育機関の情報セキュリティ対策のためのサンプル規程集(2015年版補訂)

PDCAサイクル

H28年6月政府機関の情報セキュリティ対策のための統一規範（H28版）

63p

約900p

大学での情報セキュリティーポリシーは機能しているか

政府統一基準はほぼ毎年変更

サンプル規定集は少し遅れて変更

各大学のレベルではどうか

PDCAが機能するためには組織にメスが必要

国公立に比べて私学は…？

そもそも大学はより「セキュア」になったか？

変化する外的要因に対しリスクの見直しは出来ているか？？？

セキュリティ

「セキュリティ」と「リスク」は表裏一体

セキュリティを高めるのが「セキュリティマネジメント」→それにより「リスク」が軽減する

これに事故（インシデント）発生時対応を加えて「リスクコントロール」を実現する 19

安全Safety

安心Trustworthy

信頼Dependablity

リスクRisk

リスクを評価し対応する

リスクアセスメント

リスクの把握・特定

リスクの分析・評価

リスク対応（リスクマネジメント）

リスク許容

リスク低減(技術・運用等)受容

可能？

リスク回避（業務見直し等）

リスク移転（保険等）

NO

YES

岡村久道「これでわかった会社の内部統制」など

リスクの大きさ・確率と対応の関係

L（被害）

P （発生確率）

リスク許容

リスク低減(技術・運用等)

リスク回避（業務見直し等）

リスク移転（保険等）

佐々木良一：「ITリスクの考え方」より

経営層とシステム管理者との間にはまず「常識」の共有が必要・・・

ITによる効率化は危機も呼び込むことになる（ブレーキのない車に人は乗せられない）

システム調達の業者に全責任は負えない→事故発生時の被害は経営層が評価すべき→業務単位のリスク評価は経営層の責任リスク対策の勘所は「運用現場」にこそ見えている→細部のリスク対策は現場から上に上げるべき

経営層はそのリスク対策の妥当性を評価しリソースを配分する

事故の発生確率は0にできないだからこそ事故の予防策だけではなく事後対策が重要

22

リスク評価はトップダウンリスク対策はボトムアップ

学長

情報・情報機器

教員・職員

重要業務のリスク評価

重要情報のリスク対策

執行部・経営層に求められること

重要な情報（機密）の保護にはコストがかかるリソースの配分に権限がある人は細部のどこに重要な「情報」があるか理解が及ばない一方、重要な「業務」は把握しやすいリスクも想像が及びやすい

決定の迅速化、対策のメリハリ但し適切なリソース配分には結局細部のリスク評価が欠かせないことに注意それを現場から「リスク対策案」とともに吸い上げる

インシデントレスポンスはどうあるべきか

組織内体制の整備（CSIRT）が必要シーサート（CSIRT: Computer Security Incident Response Team）とは、コンピュータセキュリティにかかるインシデントに対処するための組織の総称です。インシデント関連情報、脆弱性情報、攻撃予兆情報を常に収集、分析し、対応方針や手順の策定などの活動をします。（日本シーサート協議会HPより）

IRは技術だけでは不十分対処によっては教学に影響 経営判断にも直結法的対応には法務部門等とのリンクが不可欠

セキュリティポリシーはマニュアル化が要だがIRは事前のマニュアルだけに頼れない

やや属人的になることは覚悟

緊急時対応計画の策定法

イメージとしては「火災時の計画」

ただ、「消火」と「再発防止」まで自分でやる必要

インシデント発生

監視結果

内部通報

外部通報

明らかな災害

CISO

連絡担当

渉外担当

システム担当

広報内部統制顧客対応

マスコミ対応警察対応

応急措置原因究明仮復旧

原状復帰再発防止報告作成

CSIRT

ある大学の緊急時対応体制の例

全学情報セキュリティ委員会

CISO

部局情報セキュリティ委員会

部局長

全学情報セキュリティ幹事会

CISO

部局長 部局長 部局長

学科長 学科長幹事 学科長

幹事 幹事 幹事

小委員会 小委員会

情報管理者 機器管理者

全学連絡

責任者

部局連絡

責任者

危機管理

委員会

インシデント発見

緊急措置決定（主にネット遮断）

インシデント=事故のこと

情報倫理

委員会

ネットワークの遮断の判断と実施を

即時実行できる強力な権限を

理事より委譲されている

役割分担

CISO:権限を与え、対策を指示し、責任を負う緊急時の分限の範囲は予め決めておくべきシステム管理者は普段からCISOと密に連絡を

信頼関係が必要 予算が必要な場合「お願い」も必要平時CISOがどれだけ理解しているかが事故時の対応の差

渉外担当・連絡担当（PoC）：情報を一元化外部組織と連携する必要がある時ことが多いので重要な任務情報公開が遅れても批判の矢面 事故時は専従が望ましい普段から同業他組織と交流があるとなおよい

システム担当：CSIRTの実働部隊情報収集共有＆実際のトラブルシューター普段からリスクに関する情報収集をして共有必要に応じてCISOや実務部門に情報をあげる

大学におけるCSIRT

NIIの「サンプル規程集」でも特に定義はないもともとそれほど定義に拘る必要はないはず

CSIRTが「内部」に期待される機能

脆弱性情報や攻撃トレンドなどの情報共有

インシデント対応のトレーニング

非常時のインシデント対応支援

CSIRTとして「外部」に期待される機能

インシデント観測時の連絡窓口

他大学と連携したインシデント対応の調整役

大学CSIRT固有の機能

そもそも情報機器に関した組織的管理体制が作りにくい

特に教員や学生の存在事故発生時の連絡先が組織内でも把握しにくい

大切なのは…普段からの情報収集と共有を行うこと

そのためにも「アンテナの高い人」を確保しておく

その活動を通じて、普段から「重要なシステムにかかる情報を握るキーマンはそれぞれ誰であるか？」を把握すること

構築のヒントとしては…普段から風通しを良く！メーリングリスト、SNSなどを活用したら？

立命館におけるCSIRT構築

そもそもセキュリティポリシーの改訂が遅れており、非常時対応体制も不明瞭

2015年4月 立命館情報基盤整備委員会発足

常任理事会の下という位置づけ

目的は情報基盤整備の推進と、クラウドや情報セキュリティなど専門化する整備に関しての共通化

委員構成

委員長：学術情報担当の副総長

委員 ：教学部長、一貫教育部長、総務部長、財務部長、APU事務局長、専門委員

事務局：情報システム部

立命館におけるCSIRT構築

2015年4月 立命館情報基盤整備委員会のもとに情報セキュリティ専門部会を設置

情報セキュリティ専門部会にてセキュリティポリシーと関連規程の見直し並びに緊急時対応体制(CSIRT)の検討に着手

しかし…運営体制は委員長上原＋事務局緊急時対応体制の構成や規程の見直しについては学内での議論において何度も揺れ戻しがあり、検討から成立までに2年間を要する（今年4月ようやくまとまり、6月に常任理事会議決、7月にガイドライン制定）緊急時対応体制をCSIRTの名称を与えることは学内理解に時間がかかる→先送り

CSIRTに構築に役立つリソース

NIIサンプル規程集日本シーサート協議会の一連の資料

CSIRTスターターキットv2.0など

JPCERT CSIRTマテリアル米国NIST SP800-61「コンピュータインシデント対応ガイド」

IPAが日本語訳

デジタルフォレンジック研究会が証拠保全についてガイドライン

http://www.digitalforensic.jp/ただしこれはかなりシビアな（外部の専門家による調査が入るような）状況が想定されている